(TechWorld/Helsingfors) Dag två under Cyber Security Nordic, en konferens om it-säkerhet i Helsingfors, och dags att äntra mässgolvet. Är det något man slås av under tillställningar som dessa, mässor och events fulla av utställare i sina bås, är det det enorma utbudet av produkter. Det verkar inte finnas ett it-säkerhetsproblem som inte kan lösas med en produkt. Men litar vi för mycket på produkterna, gör de att vi inte går till botten med de underliggande problemen?

Man kan inte få sparken om man köper IBM är ett gammalt talesätt som kanske gäller än idag, men där IBM är utbytbart mot valfritt varumärke inom it-säkerhet. Ibland känns det som att många tycks tänka i banor av att ett it-säkerhetsproblem är löst om organisationen skaffar en produkt ämnat att ta hand om problemet. Man kan inte få sparken på grund av ett intrång om man installerat ett system för intrångsdetektering, då har man ju gjort nåt. Man har sett problemet och adresserat det. Bra så. Eller?

Men det kan vara farligt att lita på produkter. Dels är de inte hundraprocentiga till sina kvaliteter – ett system för intrångsdetektering missar ju vissa intrång – dels skapar de måhända en atmosfär av trygghet och minskar incitamenten att ta tag i de bakomliggande riskerna. Varför är det ett problem att bli utsatt för ett intrång? Borde vi inte fokusera på att ge angripare mindre anledningar att attackera oss till att börja med?

Fungerar ofta inte tillsammans

Ett annat problem med produktlösningen är att det inte finns en heltäckande produkt, alltså en produkt som täcker och skyddar mot alla aspekter av it-säkerhet. Alltså behöver organisationer en flora av produkter från olika leverantörer. Vissa av produkterna kan fungera tillsammans, men mer ofta gör de inte det. Detta skapar öar och silos, det skapar behov av flera olika specialister inom respektive produktområden, och det blir dyrt.

Nu måste vi ju ha vissa produkter, allt annat vore självmord. Vi måste ha klient- och ändpunktsskydd, vi måste ha brandväggar, vi måste ha system för patchning och vi måste ha system för autentisering, bara för att nämna några klassiska typer av säkerhetsprodukter. Men när man vandrar runt på ett mässgolv överbelastat av den ena fantasifulla it-säkerhetsprodukten efter den andra, i vissa fall lösningar på problem man inte ens visste fanns, får det en att undra om alla dessa produkter verkligen är nödvändiga.

it-säkerhet
Itay Savion, sälj- och affärsutvecklingschef på israeliska XM Cyber, under en presentation på Cyber Security Nordic i Helsingfors. Savion är som synes knappast ensam om att sälja en it-säkerhetsprodukt.

It-säkerhet har blivit en gigantiskt business av förklarliga skäl. GDPR, till exempel, har gjort det mycket tydligt vad det kan kosta att inte följa reglerna och bli utsatt för lyckade angrepp. Ständigt nya faror, hot och sårbarheter skapar en atmosfär av rädsla, osäkerhet och en känsla av att inte hänga med, och det är inte förvånande att en snabb fix i form av en produkt lätt blir det första it-säkerhetsansvariga griper efter. Leverantörerna av it-säkerhetsprodukter är snabba och skickliga på att utnyttja och profitera på denna ångest.

Men it-säkerhet är inte en produkt utan en process, som Mikko Hyppönen sa under mitt besök hos det finska it-säkerhetsföretaget F-Secure igår. Och det kommer alltså från en representant för ett företag som i allra högsta grad lever på it-säkerhetsprodukter och i förlängningen på folks rädslor, upplevda såväl som verkliga.

Att tänka process och inte produkt är, lite motsägelsefullt, också en tydlig trend bland leverantörerna av it-säkerhetsprodukter. Tjänster är ju också en typ produkt och dessa tjänster är en växande marknad. Även här har vi nog en hel del att tacka GDPR för – det blev väldigt tydligt under tiden fram till lagens införande att se över sina processer var (och är) A och O för att leva upp till reglerna. Detta gäller även i allra högsta grad it-säkerhet.

Förenklat kan man ju fråga sig vad som är mest effektivt: att köpa och implementera en produkt som letar efter farliga länkar och bilagor i e-post, eller lära personalen att inte klicka på länkar eller öppna bifogade filer om de inte är helt säkra på vad de gör? På samma sätt bör en organisation som har ansvar för att skydda känsliga personuppgifter fråga sig om de ska köpa en produkt som sägs skydda personuppgifterna, eller bör man se över sina processer och rutiner och se till att personuppgifterna hanteras på ett sådant sätt att det blir meningslöst att försöka stjäla dem.

Spiller över till andra områden

Att tänka i termer av processer för även andra fördelar med sig, jämfört med produkter. Att utbilda personalen och skapa en kultur av försiktighet mot till exempel bilagor i e-post, för ju förhoppningsvis även med sig att försiktigheten spiller över till andra områden, som att fråga en främmande person som vandrar runt på kontoret vad hen gör där, eller att inte använda hemmanätverket när man jobbar med känsliga data.

Vi kommer att behöva it-säkerhetsprodukter i all evighet, men många produkter riktar sig mot problem som kanske går att lösa på andra sätt, på lite mer "mjuka” sätt, så att säga. Nästa gång du är på väg att köpa en produkt kan det vara en nyttig övning att ställa dig frågan om inte det problem du vill lösa med produkten går att lösa genom att se över organisationens processer, rutiner eller kultur. Eller, om det inte fanns en produkt, hur skulle du göra då?

Läs också:
Mikko Hyppönen: Smarta saker är det nya digitala asbest
Nu kan du hacka dig själv med Bluekeep – Ny modul i Metasploit